Kleiner Virus – Große Wirkung
Viren-eMail legt im Klinikum Fürstenfeldbruck über eine Woche die IT lahm
Durch eine eMail mit einer angeblichen Rechnung im Anhang wurden Anfang November 450 Computer des Klinikum Fürstenfeldbruck zeitweise unbrauchbar gemacht [1]. Die Beseitigung des Schädlings hat über eine Woche gedauert.
Patienten an Nachbarkrankenhäuser verloren
Aus Kapazitätsgründen musste sich das Klinikum von der Integrierten Leitstelle abmelden. Patienten und Behandlungen wurden derweil auf Papier erfasst und Arztbriefe handschriftlich verfasst. Die betriebswirtschaftlichen Auswirkungen sind noch gar nicht abzusehen, dürften aber angesichts des ohnehin minimalen Überschusses schmerzlich sein [2].
Ursache ist eine Office-Datei mit Makros
Als Infektionsquelle vermutet man einen eMail-Virus des Typs Emotet [3], der sich als Rechnung ausgibt und seinem Opfer vorgaukelt, dass es nötig sei nach dem Öffnen noch auf „Enable content“ zu klicken. Dadurch löst man ein Makro aus, das dann weitere Schadsoftware nachladen und ausführen kann.
Damit die Infektion gelingen kann ist also die Mithilfe des Empfängers notwendig. In bestem Deutsch und von vermeintlich vertrauenswürdigen Absendern (Telekom, Geschäftspartner) wird dem Empfänger daher eine Geschichte von Rechnungskorrekturen wegen falscher Mehrwertsteuer erzählt. So wird zuerst der menschliche Empfänger „infiziert“, damit sich anschließend der Computer-Virus verbreiten kann.
Virenschutz wirkungslos
Aus eigener Erfahrung wissen wir, dass die klassischen Anti-Viren-Produkte bei derartigen Attacken wirkungslos sind, weshalb wir unsere Filter-Policy schon im Frühjahr 2016 dahingehend angepasst haben, Office-Dateien mit Makros vorsorglich zu sperren. Diese Filterung haben wir seit dem immer wieder verfeinert. Daneben setzt SecuMail alle Empfehlungen des Bundesamt für Informationssicherheit [4] um, welche sich durch eine externe Filterlösung realisieren lassen.
SecuMail beugt vor
Im Gegensatz zu Anti-Viren-Programmen, die eine Datei erst als bekannt-bösartig identifizieren müssen bevor sie aktiv werden denkt und wirkt SecuMail eher wie eine Firewall:
- SecuMail leitet Mails mit üblichen und ungefährlichen Anhängen sofort weiter
- Dateien, die Schadsoftware enthalten könnten werden zurückgehalten, der Empfänger wird informiert
- Zurückgehaltene Mails können von den Kollegen in der IT freigegeben werden
Damit ist bei zweifelhaften Dateien über ein 4-Augen-System sichergestellt, dass derartige Mails nicht unbedarft geöffnet werden. Erfahrungsgemäß ist bereits die Zustellung der Benachrichtigung „potentiell gefährliche eMail zurückgehalten“ ausreichend um den Empfänger zu sensibilisieren und die Echtheit und Plausibilität der Mail zu hinterfragen.
[1] https://www.br.de/nachrichten/bayern/fuerstenfeldbruck-computerausfall-im-klinikum,R9THGbV
[3] https://www.heise.de/security/meldung/Trojaner-Achtung-bei-angeblichen-Rechnungen-4219043.html
[4] https://www.allianz-fuer-cybersicherheit.de/ACS/DE/Micro/E-Mailsicherheit/emotet.html